Temat: Programy do fakturowania a obowiązek informacyjny

W systemach do fakturowania / wystawiania rachunków przetwarza się dane osoby, gdy (klienci - osoby fizyczne/prywatne) życza sobie rachunku. Dane takie bez wątpienia przetwarza się w zbiorze, zbioru się nie rejestruje, bo wyłącza z obowiązku art. 43 ust. 1 pkt 8. Art. 32 daje osobom prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych.

Skoro zatem w systemie do fakturowania dane osobowe są przetwarzane i sa w zbiorze, to system ten musi spełniac wymogi opisane w rozporządzeniu w §7, w szczególności:

1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym — z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie — system ten zapewnia odnotowanie:
(...)
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
(...)
3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.

Może to byłby przyczynek do tego, że w zasadzie każdy system tego rodzaju powinien "z defaultu" spełniać takie (i pozostałe z §7) wymogi? Moim zdaniem pewna ilość takich programów takiego wymogu nie spełnia (nie wspominając o pozostałych).

A jakie jest Wasze zdanie na ten temat?

PS. Art. 32. ust. 1 określa, że każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia ...(...). Moją uwagę zwraca określenie czy taki zbiór istnieje - co to miałoby w takim kontekście znaczyć? Osoba wszak nie wie, czy zbiór istnieje, a cóż dopiero definiować - jaki? Czy chodzi tez po prostu o odpowiedź na pytanie czy dane są przetwarzane w zbiorze? Leszek K. edytował(a) ten post dnia 27.03.11 o godzinie 00:39

Temat: Programy do fakturowania a obowiązek informacyjny

Odpowiadając na pierwsze pytania, to moim zdaniem można by się zgłaszać do producenta takiego oprogramowania w celu uregulowania funkcjonalności programu zgodnego z prawem. Wiadomo jednak jak producenci podchodzą do takich zagadnień.... dadzą odpowiedź, że przy "najbliższej aktualizacji" znajdzie się ta poprawka, lecz nigdy się nie ukazuje.
Rozwiązaniem było by zgłoszenie sprawy GIODO i otrzymanie decyzji w tej sprawie. Lecz tu nasuwa się pytanie, kto będzie chciał się pchać na "widelec" GIODO?!

Co do drugiego pytania ja podszedłem do tego zagadnienia w sposób następujący, że klientów informuję (oczywiście na ich pisemny wniosek) o istnieniu takiego zbioru danych i fakcie przetwarzania danych klienta.

Temat: Programy do fakturowania a obowiązek informacyjny

no to się producenci programów fakturujących zdziwią :) bo to całkiem spora funkcjonalność do dobudowania.
A jak wygląda w praktyce spełnienie tego obowiązku informacyjnego? Jak nazwać taki "zbiór" - określić go poprzez cel przetwarzania danych? Czy informację o dokonanych zakupach traktować jako dane osobowe - i wtedy podać historię wszystkich zakupów? Pełna historię danych klienta? (dane identyfikujące go w przeszłości historyczne to też dane osobowe)

W ogóle prowadząc rozważania nad materią spełnienia obowiązku informacyjnego zaczynam miec "problem" z obowiązkiem informacyjnym - dane osobowe są przetwarzane w wielu miejscach w firmie - księgowość, hr, obsługa klienta, sprzedaż, etc. Nie wszystkie sa w jednym centralnym repozytorium. Gdy przyjdzie wniosek od klienta o udzielenie mu informacji, co do której ma prawo (art 32 ust. 1 uodo), bo Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do:

1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska,
2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,
4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,
5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
(...)
6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane,

to wtedy trzeba uruchomić "całą" firmę - a na pewno te działy, w których zbiory są, a nie podlegają rejestracji. I bez znaczenia, czy osoba jest klientem i czy kiedykolwiek miała do czynienia z tą firmą (administratorem), od której/ego żąda informacji.Leszek K. edytował(a) ten post dnia 28.03.11 o godzinie 08:11

Temat: Programy do fakturowania a obowiązek informacyjny

A mi się wydaje, że dano osobowe przetwarza się w tym przypadku tylko do wystawienia faktury, po wystawieniu faktury cel przetwarzania został zakończony i nie powinno być tych danych w programie do fakturowania, Pozostają jedynie faktury które archiwizuje się ale to już z innego powodu.
A to że sklepy maja wszędzie dane osób w systemie - to jest moim zdaniem nic innego jak łamanie Uodo - moim zdaniem nie wolno przetwarzać danych z powodu potencjalnego kolejnego zakupu

Temat: Programy do fakturowania a obowiązek informacyjny

Nie sądzę, aby można było dane usunąć po wystawieniu faktury. Program taki najczęściej jest jednocześnie ksiegą rachunkową, zaś faktury są dowodami księgowymi = dane należy przechowywać przez określony okres czasu, jak rozumiem między 5 a 6 lat. Ustawa o rachunkowości określa, że zbiory, m.in. księgi rachunkowe, dowody księgowe, dokumenty inwentaryzacyjne, przechowuje się przez minimum pięć lat, licząc od początku roku następującego po roku obrotowym, którego dane zbiory dotyczą.

Temat: Programy do fakturowania a obowiązek informacyjny

No tak w kontekście archiwizacji - dane muszą być, i przez to system musi spełniać wymogi - nie kombinuje dalej :)